上海博达30周年庆 抱朴守拙 行稳致远
021-80370812
轨道交通系统优德俱乐部w88网站
轨道交通综合监控系统的特点
1.轨道交通的综合监控系统(ISCS)终端设备及服务器通过双网口接入两个独立的环网;
2.每个骨干环网(A网或B网)均要求冗余倒换时间不超过50毫秒
3.双骨干环网(A网和B网)均采用高MTBF及高LifeTime的工业级交换机构建
4.综合监控系统的子系统均通过前端的卡轨工业交换机分别接入两个骨干环网;
网络方案现状:单环双节点和双环双节点
综合监控典型组网1—武汉二号线ISCS
综合监控典型组网2—合肥一号线ISCS
综合监控典型组网3—福州一号线ISCS
综合监控典型组网4—上海十号线ISCS
ISCS-综合监控系统
综合监控 整体优德俱乐部w88网站
模块化三级安全防护模块
|
网络结构的安全风险 |
|
Ø 传输系统网络结构复杂,系统接口多,缺乏有效的区域隔离。
Ø 系统具有多个子系统的接口,但没有有效的安全防护措施。
Ø 缺少入侵检测和安全自检机制,无法及时发现网络的风险并进行网络的安全自检。
Ø 子系统间缺少对数据流的允许、拒绝或重新定向,缺失网络服务和访问的审计和控制。 |
|
系统漏洞的安全风险 |
|
Ø 传输终端设备的操作系统存在大量系统漏洞,不能及时修补。
Ø 子系统控制器多采用国外设备,存在严重漏洞,甚至是后门。 |
| 网络协议的安全风险 |
|
Ø 传输骨干网系统中普遍使用的TCP/IP协议存在先天的安全性缺陷。
Ø 工控协议缺乏诸如认证、授权和加密等需要附加开销的安全特征和功能。 |
|
网络协议的安全风险 |
|
Ø 传统IT防火墙缺乏对工业控制系统的认识,无法满足ISCS系统这种需要较高安全等级的控制系统的需求。 Ø 工作站和服务器中安装的防病毒软件的病毒库不能及时更新,还常常影响系统的稳定性。 |
模块化三级安全防护模块—信息安全
 |
|||
|
1.只允许特定格式数据通过
2.所有接入ISCS系统数据流进行控制防护。 3.数据包格式、关键位、流向查询进行控制。 |
1.非法接入监测
2.网络审计 |
1.拒绝病毒、木马
2.拒绝非授权USB接入
3.拒绝非授权进程
4.拒绝非授权网络访问 |
1.单向传输特性
2.保证数据包单向通过,没有任何反馈 3.阻止重要数据外泄 |
综合监控网络系统,以车站为单位进行隔离和防护,划分安全区域,配置合理的安全系统,进行分析和防护,保持站内安全,和整网安全,隔离和深入防护相结合。
Ø 状态包检测技术的防火墙
● 支持IP和MAC地址过滤
● 提供简单的部署和高度的防护
Ø 没有IP地址的二层网桥
● 对现有网络无任何影响
● 非常安全可靠
Ø 协议级的深度内容检查
● Modbus/TCP、OPC和Ethernet/IP
Ø 简单的部署(模块化板卡)、配置和管理
下一代综合监控骨干网络
1. IEC组织于2012年通过IEC62439-3-5定义及规范了High-availability Seamless Redundancy(HSR)网络4. HSR(IEC62439-3-5)协议与PRP(IEC62439-3-4)协议的同时使用,甚至可以将目前软件功能实现的A网与B网的切换在硬件层实现
u DANP为支持PRP协议的节点,与A网B网2个独立的网络分别连接
u DANP在AB网有相同的IP及MAC地址,同时向AB网发送相同的数据包
HSR高可靠性无缝冗余骨干网络
HSR+PRP单IP零毫秒冗余网络
HSR+PRP单IP零毫秒冗余网络
